802.1x - Frage zur Umsetzung

[glippert 10]

Einen schönen guten Morgen,

 

wir planen in einiger Zeit die Port Authentifizierung an Cisco Switchen (2950) zu aktivieren. Nun meine Frage, gibt es einen Ansatz wie man z.B. Netzwerkdrucker ohne grossen Aufwand in dieser Umgebung betreiben könnte und wie man da am besten eine gewisse Sicherheit der Ports gewährleisten kann ? Natürlich haben wir was die Konfiguration betrifft vor allen der Core Switches einen Dienstleister - aber natürlich hat man ja den Ehrgeiz soch im Vorfeld zu Informieren .. :cool:

 

Grüße,

 

Guido

[Blacky_24 10]

Der Ansatz wäre wohl, auf den Netzwerkdruckern ebenfalls 802.1x zu konfigurieren. Das Unterstützen mittlerweike eigentlich alle grossen Hersteller in den neueren Modellen. Bei älteren Druckern ist ggf. Ein Softwareupdate oder der Austausch des Printservers erforderlich.

 

Drucker die das partout nicht können kann man per Mac-Adresse fest an einen Switchport binden, diese Switchports in ein eigenes VLAN packen und dieses per Access-Liste gegen das übrige Netz abschotten.

 

Gruss

Markus

[glippert 10]

An ein separates VLAN habe ich auch schon gedacht. Es handelt sich halt um sehr viele Drucker 100+ ... viele HP 1200'er die, soweit ich weiss, keine Unterstützung bieten für 802.1x. Also fällt das "Anfassen" der Drucker wohl aus. Und es sollte ja für alle Drucker eine gemeinsame Lösung geben.

 

Die Variante mit VLAN ... Das würde heissen das man dann im Coreswitch die ACLS basierend auf den MAC Adressen pflegt und dort festlegt welche aus dem DruckerVLAN ins VLAN in dem sich der PrintServer befindet dürfen ?

 

Man könnte ja auch die ACLs weglassen und sagen das aus dem DruckerVLAN nur auf dem Printserver zugegriffen werden darf ... in die andere Richtung entsprechend ohne Einschränkungen. Aber wenn ich doch mal nen Drucker von einer Wokstation direkt ansprechen will geht das dann ja nicht ... ... oder hab ich da jetzt nen Denkfehler ?